A cada dia, os sistemas operacionais, navegadores e firewalls vão ficando mais sólidos e protegidos contra ameaças de todos os tipos; o macOS não é exceção. Tendo isso em vista, os crackers e malfeitores digitais precisam rachar a cuca para encontrar novos meios de invadir os dispositivos e as contas de usuários… ou, em vez de novos meios, simplesmente recorrer a métodos (quase) tão antigos quanto andar para a frente.
Um malware para Mac descoberto recentemente pela firma de segurança Confiant cai exatamente nessa classificação: ele funciona por meio de uma técnica chamada esteganografia, que consiste em esconder mensagens (no caso, códigos) em textos ou imagens e já era usada por Heródoto na Grécia Antiga(!), em 440 a.C.
O artigo do pesquisador Eliya Stein explica o funcionamento do malware, batizado de VeryMal, de forma bem aprofundada. Basicamente, o problema todo mora em imagens exibidas em publicidades de websites na internet. As imagens em si não possuem nenhuma ameaça, mas criam um elemento canvas
1Elemento da linguagem HTML5 que permite a exibição de gráficos em uma página da web. que, quando ativo, executa uma série de ações:
- Primeiro, ele checa se o computador tem as fontes padrão do macOS instaladas. Se não tiver, nada acontece.
- Se as fontes estiverem lá (como estão em basicamente todo Mac), cria-se um loop por códigos ocultos na imagem; o loop correspondente a cada pixel gera um caractere baseado na fonte em questão e, quando juntos, os caracteres formam um código.
- O código é executado, e o usuário é levado a uma página falsa que o “avisa” que sua versão do Flash está desatualizada; o botão para instalar a atualização, na verdade, instala o malware no Mac e exibe propagandas indesejadas para o usuário.
Se parece uma sequência enorme de fatores apenas para instalar um adware na máquina, é porque os malfeitores precisam realmente recorrer a métodos cada vez mais complexos (e antigos) para chegar a esses fins; outras estratégias de instalação de malwares, como a inclusão de códigos maliciosos diretamente em arquivos, já é rapidamente exterminada por sistemas operacionais e antivírus, portanto, as técnicas tornam-se mais insidiosas.
De fato, a “campanha” para exibição das propagandas “infectadas” rendeu: o pesquisador da Confiant estima que ela tenha rodado apenas por dois dias, entre 13 e 15 de janeiro, e tenha atingido mais de 5 milhões de usuários. Esse número representa todo mundo que viu uma dessas publicidades nos sites que visita, mas não indica quantas dessas pessoas efetivamente foram levadas ao site falso do Flash e instalaram o malware.
A campanha já foi encerrada, então ao menos esse malware em específico não ameaça mais os Macs do mundo. Mas fica sempre o lembrete: cuidado com as páginas que você visita por aí, nunca clique em propagandas que não confia e, principalmente, nunca instale arquivos que não venham diretamente do website de desenvolvedores confiáveis.
via ZDNet
Notas de rodapé
- 1Elemento da linguagem HTML5 que permite a exibição de gráficos em uma página da web.